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Abstract of FR2681165 

The invention relates to the encrypted 
transmission of information (Kd) between two 
microprocessor cards (CM, CP). The 
information is encrypted in the first card, the 
encrypted information is transmitted from the 
first card to the second, and the information is 
decrypted in the second card. The feature of 
the invention is that use is made of an 
encryption key drawn from a store of potential 
keys which consists of the read-only memory 
(120 for CM, 220 for CP) of the card. An index, 
generated by the first card and transmitted to 
the second card, is used so that the two cards 
may use the same key without transferring this 
key in clear between the two cards. The key is 
the contents of the read-only memory file at 
the address defined by the index. 
Application to the transmission of a secret key 
(Kd), diversified from a base key (KF), 
between a diversification card (CM) and a card 
to be personalised (CP). 
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(54) Procede de transmission d'lnformatlon confldentlelle entre deux cartes a puces. 

(§7) L'lnventlon conceme la transmission cryptee d'une in- 
foTfiiation (Kd) entre deux carles a microprocesseur (CM, 
CP). On crypte 1'inforrnation dans la premiere carte, on 
transmet rinformation cryptee de la premiere carte a la 
deuxieme, et on decrypte rinformation dans la deuxieme 
carte. La particularite de l'lnventlon est que Pon utilise une 
cle de cryptage puisee dans une reserve de cles potentlel- 
les qui est constitute par la memoire morte (120 pour CM, 
220 pour CP) de la carte. Pour que les deux cartes puis- 
sant utlllser la meme cl6 sans falre transiter cette cle en 
clair entre les deux cartes, on utilise un index, engendre 
par la premiere carte et transmis k la deuxieme carte. La 
cle est le contenu du tichier de memoire morte a I'adresse 
definie par I'lndex. 

Application a la transmission d'une de secrete (Kd), di- 
versffiee a partir d'une cle de base (KF), entre une carte de 
diversification (CM) et une carte a personallser (CP). 
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PROCEDE DE TRANSMISSION D 1 INFORMATION CONF IDENTI ELLE 
ENTRE DEUX CARTES A PUCES 

L 1 invention concerne la securite dans les 
applications des cartes a puces. Plus prdcisement elle 
concerne la transmission securisee d 1 informations entre 
deux cartes Si puces. 
5 On decrira l 1 invention S propos d f un cas 

particulier, bien que I 1 invention ait des applications 
plus gen&rales. Ce cas particulier est celui de 
1 1 elaboration de cles de cryptage secretes, diversifiees 
§. partir d^ne cle de base, qui doivent etre placees 

10 dans des cartes k puces qu'on veut utiliser dans une 
application determinee. 

Pour une application determinee, application 
bancaire par exemple, l'&metteur de cartes a puces (la 
banque par exemple) va distribuer une carte Si chaque 

15 client. Cette carte devra comporter dans sa memoire 
interne une cle de cryptage secrSte, non connue et non 
accessible m£me par le titulaire de la carte. Cette clS 
servira a crypter la transmission d 1 informations entre 
la carte et l^ppareil de transaction qui va utiliser la 

20 carte. I^appareil de transaction connaltra la cle 
secrSte, pour pouvoir d&crypter la transmission. 

La cle secrete sera differente pour chaque carte, 
et c'est pourquoi elle est appelee cle diversifiee. 

II est done n^cessaire, & un certain stade de 

25 1 ' elaboration des cartes, de placer une meitie cle secrete 
a la fois dans la carte d'un titulaire et dans 
l^ppareil de transaction (ou dans le systeme 
informatique general qui pilote les appareils de 
transaction) . II y a done necessity de transmettre une 

30 information conf identielle d'un organe a un autre. 
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Cette operation est delicate car il y a un risque 
qu'une personne chargee de ce travail et pouvant done 
avoir de ce fait acces aux cles secr&tes, ne s'en serve 
pour rSaliser frauduleusement des cartes ayant toutes 
5 les capacites des cartes l&gitimes. 

Evidemment on peut crypter a nouveau la 
transmission de 1 * information conf identielle. Mais pour 
cela il faut une clS de cryptage et cette clfe doit aussi 
etre transmise. On n'a fait que reporter le probleme. 

10 Far exemple, une technique de production d*une clfe 

diversifiee pour line application a utilisateurs 
multiples est la suivante : on utilise deux cartes a 
puces semblables, dont l'une est une carte maitresse 
chargee d'&laborer et . eventuellement de garder en 

15 m£moire la cle diversifiee, et l 1 autre est une carte 
esclave ou carte a personnaliser, devant recevoir dans 
sa memo ire la cle secrete diversifiee qu f elle devra 
utiliser par la suite pour des operations 
d'authentif ication* La carte maitresse pourra servir a 

20 transporter, vers les appareils de transaction ou vers 
le systSme qui les gere, la liste des clSs diversifies 
autorisees . 

Dans cette technique, la carte maitresse contient 
un microprocesseur avec une memo ire de programmes, et 

25 dans cette memo ire un programme d 1 elaboration de cl6 
diversifiee. Mais comme la clS diversifiee ne doit pas 
circuler en clair entre les deux cartes (pour Sviter les 
fraudes) , la carte comprend aussi un programme de 
cryptage pour envoyer la cle diversifiee sous une forme 

30 indechif frable. La cle diversifiee est done calculSe, 
puis crypt&e; le resultat du cryptage est envoye a la 
carte a personnaliser* 

La carte a personnaliser contient aussi un 
microprocesseur et une memoire de programmes, et dans 
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cette memo ire un programme de decrypt age permettant de 
retrouver la cle diversif iee a partir du signal cryptS 
qu f elle revolt. 

Le programme de cryptage utilise une cle secrete de 
cryptage qui, bien entendu, doit rester conf identielle, 
faute de quoi une reconstitution de cles diversifies 
serait possible, entrainant le risque de production 
frauduleuse de cartes. 

Mais le programme de decryptage doit connaltre 
cette cl&, faute de quoi il ne pourrait pas reconstituer 
la cle diversif iee qu»il attend. II faut done que la 
carte Sl personnaliser contienne, dans une zone de 
memoire inaccessible, cette meme clS de cryptage. Et par 
consequent il faut qu f a .un moment ou un autre du procede 
de cryptage on place dans les deux cartes S. la f ois une 
m§me cle de cryptage, qui ne sert que provisoirement 
pour envoy er de la carte maltresse vers la carte §. 
personnaliser la cle diversif iee. 

II y a done un risque qa'une personne mal 
intentionnSe utilise la connaissance quelle a de cette 
cle pour reconstituer a des fins frauduleuses tout le 
processus de fabrication d»une cle diversif ifee. Cette 
personne pourrait alors rSaliser de fausses "vraies 
cartes" . 

Le but de l 1 invention est d f eviter ce risque par un 
moyen relativement simple. 

Selon 1« invention, on utilise le fait que la carte 
maltresse et la carte a personaliser ont dans leur 
memoire morte des programmes ou des portions de 
programmes identiques, ne serait-ce que parce qx^elles 
sont faites par le m&ne fabricant, ou parce qu'elles ont 
un systeme d 1 exploit at ion identique ou parce qu'elles 
respectent des critSres de normalisation identiques. 
Dans la pratique, la mSmoire morte des deux cartes sera 
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meme rigour eusement identique. 

L»idee maltresse de 1« invention est d"utiliser 
comme cl6 de cryptage commune aux deux cartes une donnee 
prise parmi un fichier (et de preference le fichier de 
memoire morte du systeme d 1 exploitation de la carte) 
dont le contenu et 1 1 organisation sont identiques dans 
les deux cartes , la donnee etant designee a partir d'un 
index transmis d'une carte a I 1 autre et susceptible de 
varier. 

Par consequent, au lieu devoir a inscrire dans 
deux cartes differentes une clS de cryptage commune avec 
le risque que cette inscription double permette ensuite 
une fraude, on utilise comme clS de cryptage un contenu 
dejS. inscrit mais inconnu a priori et pouvant varier 
d'une operation a vine autre. Si de plus l'adresse a 
laquelle on va chercher ce contenu varie de maniere 
aleatoire, on about it a une tres grande sScurite. 

Selon un aspect de l 1 invention, on propose done un 
precede de transmission cryptee d'une information entre 
deux cartes a microprocesseur qui ont chacune un fichier 
de memoire a plusieurs adresses, ce fichier ayant un 
contenu identique pour les deux cartes, procSde dans 
lequel on crypte 1 1 information dans la premiere carte, 
on transmet 1 1 information cryptee de la premiSre carte a 
la deuxieme, et on dScrypte 1 • information dans la 
deuxiSme carte, ce precede Stant caracterise en ce que 
le cryptage et le decryptage sont ef fectues avec pour 
cle le contenu d'une partie seulement du fichier de 
memoire, identifiee par une donnee d'adressage qui est 
utilisSe par la premiere carte et transmise a la 
deuxieme carte. 

La donnee d ! adressage peut etre une adresse 
proprement dite, mais de preference elle sera plut6t un 
index a partir duquel on peut calculer une adresse. Les 
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deux cartes poss&dent alors en memoire le meme programme 
de calcul d'une adresse a partir d f une valeur d" index, 

Selon un aspect important de l f invention, c*est la 
memoire morte de la carte, celle qui contient le systdme 
d 1 exploitation de la carte qui va etre utilisee. Elle 
constitue en effet un fichier dans lequel on peut puiser 
un grand nombre de cles (chaque cle correspondant par 
exemple a un mot ou plusieurs mots consecutifs de 
memoire) . 

L 1 invention est applicable notarament mais non 
exclusivement au cas evoque dans le preambule, & savoir 
le cas oH 1 1 information 3. transmettre de maniere cryptee 
entre les deux cartes est elle-meme une cle de cryptage; 
et notamment lorsque cette information est une clS 
diver sifiee qui doit €tre calculSe par la premiere carte 
et stockSe de maniere conf identielle dans la deuxiSme. 

Une maniSre de mettre en oeuvre 1' invention 
cons is te H utiliser, pour chaque operation de 
transmission cryptee entre les deux cartes, un 
generateur de donnSe aleatoire interne a I 1 une des 
cartes (de preference la premiere) ; ce genSrateur 
fournira une donnee non previsible pouvant servir 
d' index pour le calcul d'une adresse de memoire de 
chaque carte* Cet index aleatoire permettra de definir 
une cle de cryptage; il sera utilise par la premiere 
carte pour crypter la transmission, et il sera envoye & 
la deuxieme carte en meme temps que 1 1 information 
cryptee pour permettre le d£cryptage. Lors d"une 
nouvelle operation, le generateur aleatoire fournira une 
autre adresse de memoire. 

D'autres caracteristiques et avantages de 
l 1 invention apparaitront a la lecture de la description 
detaillee qui suit et qui est faite en reference aux 
dessins annexes dans lesquels : 
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- la figure l reprSsente un systeme de 
diversification de cle dans lequel la presente invention 
peut etre mise en oeuvre; 

- la figure 2 represente schSmatiquement les deux 
cartes du syst&me; 

- la figure 3 represente les Stapes principales du 
procedS de transmission sScurisee de 1 1 invention* 

L' invention est applicable de mani&re generale k la 
transmission d 1 information cryptfie entre deux cartes 
ayant chacune au moins une memoire f igee dont le contenu 
est commun aux deux cartes; la description qui suit sera 
donn€e en r&fSrence a 1'exemple particulier de la 
transmission d'une cl£ diversifiSe entre une carte 
maitresse et une carte a personaliser avec une cle 
diversifiSe. 

A la figure 1 on a done represents un syst&me 
capable de recevoir deux cartes et de permettre un 
dialogue entre les deux cartes. Le systeme peut etre un 
microordinateur a usage general PC avec un clavier CL, 
un Scran SC et deux lecteurs de cartes LCI et LC2, ou 
bien ce peut etre un systdme specialement congu pour 
1» operation de diversification. II doit pouvoir rSaliser 
la transmission d 1 informations entre deux cartes a 
puces . 

L'une des cartes est la carte maitresse CM; l 1 autre 
est la carte a personaliser CP. 

Les deux cartes sont des cartes a microprocesseur, 
comportant un microprocesseur, une memoire vive de 
travail (RAM) , une memoire morte de programmes (ROM) 
contenant au moins le systeme d' exploitation de la 
carte , et une memoire non volatile electriquement 
inscriptible (EPROM ou EEPROM ou Flash EPROM) . Cette 
dernier e memoire contient en principe des programmes 
d 1 application , mais elle peut contenir aussi d'autres 
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donnees, et notamment des numeros d 1 identification, et 
la cl6 secrete diver sifiSe qu'on va chercher a y mettre. 

Class iquement, certaines zones de la memoire non 
volatile inscriptible Slectriquement sont non 
access ibles en lecture et en ecriture, sauf par le 
microprocesseur dans certains programmes du systeme 
d 1 exploitation . 

Le contenu de la memoire morte de programmes n'est 
d'ailleurs pas accessible sur les bornes exterieures de 
la carte. Seul le microprocesseur peut aller le 
chercher, uniguement lors de certains programmes du 
systeme d 1 exploitation. 

Sur la figure 2 on a represents les deux cartes 
sous forme sch&natique, avec leur microprocesseur s (MP1 
pour la carte maltresse, MP2 pour la carte a 
personaliser) , leur memoire vive (110, 210) leur memoire 
morte (120, 220) leur m&noire non volatile (130, 230) , 
et un interface de communication avec l f exterieur (140, 
240) . 

L 1 elaboration de la cle diversifi§e, a placer a la 
fois dans la memoire non volatile de la carte a 
personaliser et dans la memoire non volatile de la carte 
maltresse, se fait comme suit : 

Une donnee NS est envoySe par la carte a 
personaliser CP a la carte maltresse CM. Cette donnee 
peut Stre le nuraero de serie de la carte, inscrit dans 
sa memoire non volatile 230. 

Cette donnee sert a 1 1 elaboration de la cle 
diversifiee Kd qu'on veut ^laborer. 

Par exemple, la valeur Kd est Slaboree a partir de 
NS par une fonction de cryptage a cl§ secrete C(NS,KF) 
oil KF est une cle secrete contenue dans la carte 
maltresse. Le programme de calcul de cette fonction est 
contenu dans la memoire de la carte MP et est execute 
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par le microprocesseur de cette carte. La fonction C() 
est de preference I'algorithme standard DES ("Data 
Encryption Standard") publiS par le National Bureau of 
Standards des USA, dans Federal Register vol 40, N°52 du 
5 17 Mars 1975 et N° 149 du ler Aotlt 1975. 

La eld divers if iee Kd & mettre dans la carte a 
personaliser est done Kd = C(NS,KF) . Elles est destinSe 
a etre transmise Sl la carte H personaliser, mais par 
ailleurs elle peut etre enregistree dans la carte 
10 maltresse, ou 6tre envoyee par tout . moyen a 
1 1 application dans laquelle la carte sera utilisSe. La 
carte maltresse peut elle-m€me servir de vecteur de 
transmission vers un ordinateur central de cette 
application. 

15 Dans certains cas, il n'est m§me pas necessaire de 

conserver la clS Kd autrement que dans la carte a 
personaliser. C'est le cas lorsque 1 1 application ne 
cherche pas S verifier precisement chaque cl£ 
diversifiee mais cherche tout simplement a verifier si 

20 la cl6 presente dans la carte est bien une clS 
diversifiee & partir d'une cle de base KF determinee. 

Pour ne pas transmettre en clair la clS Kd a la 
carte a personaliser on procede de la maniere indiquee 
ci-aprSs. 

25 Un index I de valeur aleatoire, non rSpStitive 

d'une etape de diversification de cl& S. une autre est 
elabore. 

Sommairement, on peut crfeer cet index a partir d'un 
generateur pseudo-aleatoire physique, ou avec un 
30 programme contenu dans la m&moire de la carte maltresse; 
ce programme peut utiliser le contenu d'un registre non 
volatile increments S. chaque nouvelle operation et une 
fonction de cryptage telle que I'algorithme DES, 
Sventuellement avec la meme cle secrete KF dejS. utilisee 
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precedemment ou avec n'importe quelle autre cle. Le 
nombre ainsi genere peut etre considere comme aleatoire 
et non repetitif pour les besoins pratiques. 

L ■ index de valeur aleatoire I va servir H calculer 
5 une adresse de memoir e morte. Pour augiaenter la 
security, on prSfdre ne pas utiliser directement l 1 index 
comme adresse ou comme saut d v adresse. Mais on effectue 
un calcul, par exemple une fonction polynomiale, pour 
gSnerer une adresse AD = P(I). On &• arrange pour que 
10 cette adresse reste contenue dans des limites telles que 
n'importe quelle adresse ainsi gSnSree designe un mot de 
memoir e d'un fichier identique dans les deux cartes. 

Le programme de calcul de l f adresse AD 3. partir de 
X est contenu dans une .memo ire de la carte maitresse, 
15 mais aussi dans une memo ire de la carte 3 personaliser . 

L r index I sera transmis en clair 3. la carte 3. 
personaliser . 

L* adresse AD est utilisee par le microprocesseur 
qui va lire dans la memo ire de la carte, a l r adresse AD, 
20 un contenu qui sera consider 6 comme une cle de cryptage 
Kc pour une fonction de cryptage D(Kd,Kc) de la clS de 
diversification Kd. 

Le fichier choisi pour servir ainsi de reserve de 
cles de cryptage est le fichier de memo ire morte, celui 
25 qui contient le systeme d 1 exploitation de la memo ire, 
car d'une part il est identique pour les deux cartes, et 
d 1 autre part il contient suffisamment de mots pour 
constituer une reserve de nombreuses cles de cryptage 
possibles. 

3 0 Le programme de cryptage D() qui va utiliser la cle 

trouvee a 1' adresse AD est contenu dans la memoire de la 
carte maitresse; il est execute et le resultat D(Kd,Kc) 
est transmis Sl la carte si personaliser en m§me temps que 
1 ■ index I . 
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La carte a personaliser regoit l 1 index I, execute 
la meme fonction polynoiaiale / quelle a en mSmoire 
(morte ou non volatile), determine l'adresse AD, va 
chercher son contenu qui est le m§me contenu Kc que dans 
l f autre carte du fait que la zone de memoire designee 
est identique dans les deux cartes. 

La carte a personaliser comporte par ailleurs un 
programme de decryptage D~l() qui est 1» inverse du 
programme de cryptage D() et qui permet done de 
retrouver Kd en utilisant la m§me cl6 Kc qui a servi a 
crypter Kd. 

Autrement dit, si U = D(Kd,Kc) , alors 

Kd = D-l(U,Kc) . 

La cle diversifiee Kd est done retrouvSe, et 
stockee dans la memoire non volatile de la carte a 
personaliser (zone inaccessible, e'est-a-dire ne pouvant 
pas etre utilisee autrement que par le microprocesseur 
pour les besoins des f onctions de cryptage) . 

La cle diversifiee Kd peut Sgalement etre stockee 
dans la memoire de la carte maitresse CM. 

Seul a transite en clair entre les deux cartes 
1' index I. Celui-ci represente non pas un cryptage reel 
mais une dissimulation de l'adresse AD. 

Mais meme si un fraudeur arrivait a connaitre 
l^dresse AD qui a servi au moment du cryptage, il faut 
comprendre que 

- d"une part, le fraudeur ne connait pas le contenu 
du fichier (inaccessible) qui est utilise comme reserve 
de cles; 

- d' autre part, 1 1 index et done l'adresse AD sont 
renouveles a chaque fois d'une maniere aleatoire et par 
consequent 1 ■ observation d f une transmission ne permet 
pas de deduire des enseignements pour une prochaine 
fois. 
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La figure 3 rappelle les principales etapes de ces 
operations • 

On pourrait envisager d'utiliser comme mtmoire 
commune aux deux cartes non pas la memo ire morte de 
programme de systdme de la carte mais vine mtmoire 
electriquement programmable (non accessible en ecriture 
effacement ou lecture) pourvu qu f elle ait un contenu 
identique pour les deux cartes. 

La cle de cryptage Kc trouvee a l 1 adresse AD peut 
ttre constitute par un mot a cette adresse, ou plusieurs 
mots consecutifs debutant a I 1 adresse AD, ou encore une 
fraction du mot Sl l 1 adresse AD. On peut aussi envisager 
des solutions plus complexes de choix de la clS & partir 
de l 1 adresse AD : par exemple, la cle peut etre 
constitute par le premier bit de x mots successif s a 
partir de 1« adresse AD, 
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REVENDICATIONS 



1. ProcSde de transmission cryptee d'une 
information (Kd) entre deux cartes S. microprocesseur 
(CM, CP) qui ont chacune un fichier de m&aoire (120, 
220) a plusieurs adresses, ce fichier ayant un contenu 
5 identique pour les deux cartes, procede dans lequel on 
crypte 1 1 information dans la premiere carte, on transmet 
1 1 information cryptSe de la premiere carte a la 
deuxidme, et on decrypt e 1 1 information dans la deuxieme 
carte, ce procede etant caracterisS en ce que le 

10 cryptage et le dScryptage sont ef f ectuSs avec pour cl& 
(Kc) le contenu d'une partie seulement du fichier de 
mfemoire, identifiee par une donnee d'adressage (I) 
commune qui est utilisee par la premiere carte et 
transmise a la deuxieme carte. 

15 2. Procede de transmission cryptee selon la 

revendication 1, caracterise en ce que les cartes sont 
des cartes & microprocesseur comport ant une memo ire 
morte de programmes dont le contenu .est notamment un 
systSme d* exploitation de la carte, et en ce que le 

20 fichier de memo ire commun utilise come reserve de cl£s 
de cryptage est la memoir e morte de chacune des cartes. 

3. Procede selon l'une des revendications 1 et 2, 
caracterise en ce que la donnee d'adressage transmise de 
a la deuxieme carte est un index (I) permettant de 

25 calculer line adresse (AD) , et en ce que les deux cartes 
comportent en memo ire un meme programme de calcul P(I) 
pour calculer une adresse & partir de l 1 index. 

4 . Procede selon la revendication 3 , caracterise 
en ce que l 1 index est elabore dans la premiere carte. 

30 5 - Procede selon l'une des revendications 3 et 4, 
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characterise en ce que l 1 index est elabore de maniere 
alSatoire, par un generateur pseudo-aleatoire ou un 
programme de calcul d f un nombre alfiatoire. 

6. Procede selon I'une des revendications 3 & 5, 
caracterisS en ce que l f adresse est calculee par une 
fonction polynomiale a partir de 1" index* 

7. Procede selon l*une des revendications 
precedentes, caract6ris6 en ce que la premiSre carte est 
une carte de calcul d f une cle de cryptage diversifiee 
(Kd) , cette cle etant destinee a Stre stock&e dans la 
deuxiSme carte qui est une carte a personaliser, en ce 
que 1 1 information a transmettre est cette cle (Kd) , et 
en ce que la premiere carte envoie a la deuxieme a la 
fois la donnSe d f adressage (I) et la cle diversifiSe 
cryptee par une clS (Kc) trouv&e dans le fichier de 
mSmoire a partir de la donnee d^dressage. 
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